Suostumus – yksi käsittelyn oikeusperusteista

gdprosoitusvelvollisuusrekisterinpitäjätietosuoja

Suostumus – yksi käsittelyn oikeusperusteista

Suostumus käsittelyperusteena

Suostumus on yksi mahdollinen käsittelyn oikeusperuste henkilötietojen käsittelylle. Suostumus antaa rekisteröidylle mahdollisuuden valvoa henkilötietojensa käsittelyä ja vaikuttaa henkilötietojen käsittelyyn peruuttamalla antamansa suostumuksen.

Suostumuksen edellytykset

Jotta suostumus on pätevä, sen on oltava

  • yksilöity
  • tietoinen
  • aidosti vapaaehtoinen ja
  • yksiselitteinen tahdonilmaisu.

Rekisteröity voi antaa suostumuksen ennalta määriteltyyn, nimenomaiseen ja lailliseen tarkoitukseen. Jos henkilötietojen käsittelyn tarkoitus muuttuu, on rekisterinpitäjän pyydettävä uusi suostumus ennen käsittelyn aloittamista.

Yksilöinti käyttötarkoitusperusteisesti

Kun suostumusta pyydetään, on silloin yksilöitävä käyttötarkoitus, johon tietoja kerätään. Jos henkilötietoja on tarkoitus käsitellä useaan eri tarkoitukseen, rekisteröidyn on voitava valita, mihin käyttötarkoituksiin hän haluaa suostumuksensa antaa.

Eri käyttötarkoituksia varten on siis pyydettävä erilliset suostumukset. Uutta käyttötarkoitusta varten on lähtökohtaisesti pyydettävä aina uusi suostumus. Eli rastittamalla ruutu ”hyväksyn tietojen käsittelyn tietosuojaselosteen mukaisesti” ei ole lainmukainen.

Vapaaehtoisuus

Suostumus ei ole aidosti vapaaehtoinen, jos rekisteröity on heikommassa asemassa suhteessa rekisterinpitäjään. Rekisteröity voi olla heikommassa asemassa esimerkiksi silloin, jos olet rekisteröidyn työnantaja tai viranomainen. Suostumuksen antamatta jättäminen ei saa vaikuttaa palvelun saatavuuteen.

Suostumuksen antamisesta on oltava mahdollisuus kieltäytyä, ja se on voitava peruuttaa ilman haitallisia seurauksia. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.

Osoitusvelvollisuus ja tietosuojaperiaatteiden huomioiminen

Rekisterinpitäjän on pystyttävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn, ja että annettu suostumus täyttää sille laissa säädetyt ja edelleä esitetyt edellytykset.

Suostumus ei koskaan syrjäytä tietosuojaperiaatteita. Rekisterinpitäjä ei voi esimerkiksi kerätä tietoja laajemmin kuin käyttötarkoituksen kannalta on tarpeen tai poiketa henkilötietojen suojaamisvelvoitteista.

Suostumuksen pyytäminen

Suostumus on yksiselitteinen ja selkeä tahdonilmaisu, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Rekisteröity ei voi antaa suostumustaan vaikenemalla, valmiiksi rastitetuilla ruuduilla tai jättämällä jotakin tekemättä.

Jos suostumusta pyydetään sähköisesti, pyynnön on oltava selkeä ja tiivis, eikä se saa tarpeettomasti häiritä palvelun käyttöä. Esimerkiksi ruudun rastittaminen verkkosivustolla on tarpeeksi yksiselitteinen ja selkeä tahdonilmaisu.

Suostumuksesta on viestittävä selkeästi ja erillään muusta tiedosta. Sitä ei voi sitoa tai tai upottaa käyttö- ja sopimusehtoihin niin, ettei rekisteröidyllä ole todellista mahdollisuutta vaikuttaa suostumuksensa antamiseen.

Jos suostumusta pyydetään esimerkiksi palvelun käyttöehtojen yhteydessä, pyyntö on esitettävä

  • selvästi erillään muista asioista
  • selkeällä ja yksinkertaisella kielellä
  • helposti ymmärrettävässä muodossa.

Milloin rekisteröidyn nimenomainen suostumus tarvitaan?

Nimenomainen suostumus on mahdollinen oikeusperuste, kun

  • käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja (esimerkiksi terveystietoja tai etnistä alkuperää)
  • siirretään henkilötietoja kolmansiin maihin tai kansainväliselle järjestölle
  • tehdään automatisoituja yksittäispäätöksiä tai profilointia.

Nimenomaisuuden vaatimuksella tarkoitetaan tapaa, jolla rekisteröity ilmaisee suostumuksensa. Nimenomaisen suostumuksen voi antaa esimerkiksi allekirjoittamalla kirjallisen lausuman, sähköisellä allekirjoituksella tai kaksivaiheisella varmistuksella. Rekisteröity voi esimerkiksi ensin vastata lähetettyyn sähköpostiin, minkä jälkeen hänelle lähetetään vielä vahvistuslinkki tai -koodi tekstiviestillä.

Rekisterinpitäjän velvollisuudet kasvavat sitä mukaa, mitä korkeampia riskejä henkilötietojen käsittelyyn liittyy.

Suostumuksen peruuttaminen

Ennen kuin rekisteröity antaa suostumuksen, rekisterinpitäjän on kerrottava

  • oikeudesta peruuttaa suostumus
  • kuinka peruuttaminen käytännössä tehdään.

Suostumuksen peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen. Suostumuksen voi peruuttaa milloin tahansa ilmaiseksi.

Suostumuksen peruuttamisen jälkeen lopetettava kyseisen rekisteröidyn henkilötietojen käsittely niiltä osin kuin käsittely on perustunut suostumukseen.

Rekisteröityä on hyvä informoida kaikista käsittelyperusteista, jotta hän tietää, miten suostumuksen peruuttaminen vaikuttaa henkilötietojen käsittelyyn.

Suostumuksen perusteella käsiteltävät tiedot on poistettava peruuttamisen jälkeen, jollei tietojen säilyttämiselle ole muuta lainmukaista perustetta. Kun henkilötietojen käsittely on päättynyt, rekisterinpitäjän tulee säilyttää todisteet suostumuksen olemassaolosta vain niin kauan kuin on tarpeen oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Lapsen henkilötietojen käsittely suostumuksen perusteella

Tietosuojalainsäädännön mukaan lapsi tarvitsee yleensä huoltajan tai muun vanhempainvastuunkantajan suostumuksen tai valtuutuksen tietoyhteiskunnan palveluiden, esimerkiksi sosiaalisen median ja erilaisten sovellusten käyttöön. Suomessa ikäraja on 13 vuotta. Lapsi voi kuitenkin käyttää neuvonta- ja tukipalveluja sekä ennalta ehkäiseviä palveluja ilman huoltajan suostumusta.

Rekisterinpitäjän on pyrittävä selvittämään lapsen ikä ja varmentamaan, että suostumuksen on antanut ikärajan ylittänyt lapsi tai lapsen huoltaja. Tällöin o arvioitava suostumuksen antamiseen liittyviä varmentamistoimenpiteitä suhteessa henkilötietojen käsittelyn luonteeseen ja riskeihin. Jos suostumusta pyydetään lapselta, on kiinnitettävä erityistä huomiota selkeään ja yksinkertaiseen kieleen.

Kun lapsi on riittävän vanha antamaan oman suostumuksensa tietoyhteiskunnan palveluiden käyttämiseksi, huoltajan antama suostumus ei automaattisesti raukea. Lapsi voi kuitenkin itse perua suostumuksen täytettyään laissa määritellyn ikärajan, ja rekisterinpitäjän on kerrottava lapselle tästä mahdollisuudesta.

Vastaako pyydetty suostumus uuden tietosuojalainsäädännön vaatimuksia?

Jos olet rekisterinpitäjä ja käsittelet henkilötietoja suostumuksen perusteella, arvioi vastaako aiemmin pyydetty suostumus tietosuoja-asetuksen vaatimuksia.

Huomioi, että suostumuksen

  • on oltava dokumentoitu osoitusvelvollisuuden toteuttamiseksi
  • on oltava yksiselitteinen, joten valmiiksi rastitettu ruutu tai valinnan tekemättä jättäminen eivät vastaa suostumuksen edellytyksiä
  • käyttötarkoituksen on oltava ennalta määritelty, nimenomainen ja laillinen
  • peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen
  • hallinnointia koskevien käytäntöjen on oltava tietosuoja-asetuksen mukaisia.

Tietosuoja-asetuksesta seuraava informointivaatimusten muuttuminen ei automaattisesti johda siihen, että aiemmin pyydetty suostumus muuttuisi pätemättömäksi. Tietosuoja-asetus edellyttää myös käsittelyperusteesta informointia.

Jos suostumus ei vastaa tietosuoja-asetuksen vaatimuksia, on arvioitava

  • voidaanko pyytää uuden tietosuoja-asetuksen vaatimukset täyttävän suostumuksen
  • voiko henkilötietojen käsittely perustua johonkin muuhun tietosuoja-asetuksen käsittelyperusteeseen.

Rekisterinpitäjän on varmistettava, että lainmukaisuutta, kohtuullisuutta ja läpinäkyvyyttä koskevat periaatteet toteutuvat, jos käsittely jatkuu jollain toisella käsittelyperusteella. Käsittelyperusteen muutoksista tulee informoida rekisteröityä. Kun tietosuoja-asetusta ryhdytään soveltamaan, ei käsittelyperustetta voi enää vaihtaa toiseen. Jos käsittelyä ei voi perustaa toiseen oikeusperusteeseen tai pyytää uutta tietosuoja-asetuksen vaatimukset täyttävää suostumusta, on henkilötietojen käsittely lopetettava.(Lähde: Tietosuojavaltuutetun toimisto)

Tarvitsetko apua käsittelyn oikeusperusteiden valinnassa?

Ota yhteyttä yrityspalveluumme: 09 623 14 18 ja poistat GDPR tuskan.

Paljon porua GDPR:sta
Vaikutustenarviointi

Tilaa tietosuojauutiset sähköpostiin!

Form 438837550 to be rendered here.